Punycoder.de

Was ist Punycode?

Punycode ist eine spezielle Kodierung für die Umwandlung von Unicode-Zeichen in ASCII, einen kleineren, eingeschränkten Zeichensatz. Punycode wird für die Kodierung von internationalisierten Domänennamen (IDN) verwendet. Die Internet Engineering Task Force (IETF) hat den Standard im Jahr 2003 festgelegt.

Erweiterter Zeichensatz

Die Internet Engineering Task Force (IETF) definiert IDN als Domänennamen, die andere Zeichen als die des lateinischen Alphabets enthalten. Dabei handelt es sich zum Beispiel um Umlaute, diakritische Zeichen oder Zeichen aus anderen Alphabeten. Diese können vom Standardprotokollen wie dem Domain Name System (DNS) nicht verarbeitet werden können.

Im deutschsprachigen Raum sind diese Domains auch als Umlautdomains bekannt.

Seit der Einführung von IDNs ist ein Domain-Name wie www.bügeleisen.de zwar unter der Top-Level-Domain ".de" erlaubt, aber die Verarbeitung - zum Beispiel im Rahmen der Namensauflösung - ist nur durch die Kodierung der Nicht-Basisbuchstaben möglich.

Da viele der Protokolle, die dem Internet zugrunde liegen, auf der englischen Schriftsprache basieren, können sie nur den ASCII-Zeichensatz verarbeiten.

Die IETF hat die Kodierung von internationalisierten Domänennamen mit zuvor zugelassenen Zeichen empfohlen und mit Punycode eine entsprechende Methode standardisiert, um die Kompatibilität zwischen IDNs und älteren Internetstandards zu gewährleisten.

Beispiel

Internationalisierte Domänennamen mit Umlauten, wie www.bügeleisen.de, können vom DNS nicht ohne Dekodierung behandelt werden. www.xn--bgeleisen-q9a.de ist der Name nach der Kodierung in den eingeschränkten ASCII-Zeichensatz unter Verwendung der Punycode-Kodierungstechnik.

Bei der Kodierung werden die Bezeichnungen www. und .de sowie die Buchstaben des lateinischen Alphabets beibehalten. Die Umlaute ä und ü wurden gestrichen.

Die Buchstaben-/Ziffernfolge vor .de enthält die Information, welcher Umlaut an welcher Stelle im Namen vorhanden ist, sodass die Kodierung umgedreht werden kann.

Was ist Punycode und wie funktioniert es?

Die Bootstring-Technik von Punycode ermöglicht die eindeutige Darstellung einer Zeichenkette aus einem beliebigen Zeichensatz unter Verwendung des für Domänen zulässigen begrenzten ASCII-Zeichensatzes.

Dem Punycode-Kodierungssystem liegen sechs wesentliche Konzepte zugrunde.

• Vollkommenheit ergibt sich, wenn ein Text durch eine einzige Zeichenkette dargestellt werden kann, wird er als vollständig bezeichnet.
• Eindeutigkeit bedeutet, dass jeder ASCII-Zeichenkette nur ein Punycode zugewiesen werden kann und umgekehrt.
• Reversibilität, wenn eine Kodierung ohne Informationsverlust rückgängig gemacht werden kann, wird sie als umkehrbar bezeichnet.
• Effizienz bedeutet, dass die kodierte Zeichenfolge nicht oder nur geringfügig länger als die ursprüngliche Zeichenfolge ist.
• Einfachheit, die Kodierung und Dekodierung von Text erfolgt mit einfachen Methoden.
• Lesbarkeit, nur die Zeichen im Text, die nicht in ASCII dargestellt werden können, werden zur besseren Lesbarkeit neu kodiert. Die übrigen Zeichen bleiben unverändert und werden an ihre ursprüngliche Position gesetzt.

In diesem Beispiel werden alle Großbuchstaben durch Kleinbuchstaben ersetzt. Außerdem werden sogenannte Ligaturen, wie das im Deutschen weitverbreitete "ß", in einzelne Zeichen aufgelöst, in diesem Beispiel "ss".

Anschließend werden alle Zeichen in der Zeichenkette, die nicht zu den zulässigen Basiszeichen gehören, entfernt und durch einen Bindestrich ersetzt, bevor sie in verschlüsselter Form an den Domänennamen angehängt werden.

Im Beispiel www.xn--bgeleisen-q9a.de ist dies die Buchstaben-/Ziffernfolge -q9a.

Bei der Punycode-Kodierung wird der zurückgegebenen Zeichenfolge ein ACE-Präfix vorangestellt. "ASCII Compatible Encoding" ist die Abkürzung für "ASCII Compatible Encoding".

Das "xn" im Beispiel ist das ACE-Präfix. Dieses Präfix verhindert, dass Domänennamen, die Bindestriche enthalten, als IDNs eingestuft werden. Da die Buchstabenkombination xn praktisch nie in einem Text vorkommt, wurde sie als Präfix gewählt.

Bei Domains, deren Namen nur Unicode-Zeichen und keine ASCII-Zeichen enthalten, wie es zum Beispiel bei Domains mit kyrillischen oder griechischen Buchstaben der Fall ist, werden nur das ACE-Präfix und die Buchstaben-/Ziffernfolge mit den verschlüsselten Zeichen nach der Kodierung einbezogen.

Punycode als potenzielle Sicherheitsbedrohung?

Punycode stellt ein Sicherheitsproblem im Zusammenhang mit homografischen Phishing-Angriffen dar, bei denen Diebe die Ähnlichkeit verschiedener Zeichen ausnutzen, um ahnungslose Benutzer zum Besuch falscher Websites zu verleiten.

Am Beispiel der Punycode-Domain zeigt der Blogger Xudong Zheng, wie ein solcher Phishing-Versuch aussehen kann: www.xn--pple-43d.com

Die Benutzer werden auf eine Website mit dem folgenden IDN weitergeleitet: www.аpple.com

Bei der folgenden URL handelt es sich um eine zu Demonstrationszwecken eingerichtete Phishing-Website und nicht um die offizielle Website des kalifornischen Technologieunternehmens Apple Inc.